GDPR

PRAVILNIK O VARSTVU OSEBNIH PODATKOV

Pravica do zasebnosti je ena najpomembnejših človekovih pravic. V LEP d.o.o. (v nadaljevanju podjetje) se tega zelo dobro zavedamo, zato spoštujemo zasebnost posameznikov in z njihovimi osebnimi podatki ravnamo odgovorno, pazljivo in skladno z veljavno zakonodajo. Dostop do osebnih podatkov je zato dovoljen le pooblaščenim osebam podjetja in pogodbenim obdelovalcem, v obsegu in z namenom, ki je nujno potreben za nemoteno izvajanje, zagotavljanje ter izpolnjevanje pravic in obveznosti iz sklenjenih pogodbenih razmerij.

Z ustreznimi ukrepi skrbimo, da do osebnih podatkov ne dostopajo nepooblaščene osebe, ohranjamo njihovo zaupnost in celovitost ter preprečujemo njihovo izgubo oziroma nenamerno uničenje med časom obdelave. Ob morebitnem “vdoru” v računalniški sistem ne nosimo odgovornosti!

Podjetje in njegovi izvajalci tako v celoti spoštujemo splošna načela v zvezi z obdelavo osebnih podatkov, ki so:

  1. Osebne podatke posameznikov obdelujemo zakonito, pošteno in transparentno.
  2. Osebne podatke zbiramo za namene, ki so vnaprej določeni, izrecni in zakoniti;  osebnih podatkov ne obdelujemo za druge namene, razen v primeru obdelave v znanstvene ali zgodovinsko raziskovalne namene ter za statistične namene, pod določenimi pogoji.
  3. Osebne podatke za namene obdelave obdelujemo v najmanjšem možnem obsegu.
  4. Skrbimo, da so obdelovani osebni podatki točni in redno posodobljeni, netočne podatke pa popravimo ali izbrišemo.
  5. Osebne podatke hranimo le toliko časa, kolikor je to potrebno za določen namen obdelave.
  6. Skrbimo za ustrezno varnost osebnih podatkov, ki vključuje preprečevanje nedovoljene ali nezakonite obdelave ter nenamerno izgubo, uničenje ali poškodbe, z uporabo ustreznih tehničnih in organizacijskih ukrepov.

1. Kontakt o zasebnosti

Za vprašanja v zvezi z obdelavo in uporabo osebnih podatkov, informacijami, popravki, blokiranji, izbrisom osebnih podatkov ali preklicem privolitve obveščanja, preklicem soglasja, se obrnite na: info@winetastingbled.com (v nadaljevanju: e-naslov naveden v točki 1.).

 

2. Katere osebne podatke zbiramo?

  • Osnovne osebne podatke (ime in priimek).
  • Podatke za komunikacijo (npr. naslov, mail, telefon).
  • Podatke o komunikaciji med podjetjem in udeleženci.
  • Podatki o plačilih.
  • Morebitni drugi podatki, pridobljeni na podlagi soglasja.

 

3. Kakšne so pravne podlage za obdelovanje vaših osebnih podatkov?

V skladu z veljavno zakonodajo s področja varovanja osebnih podatkov lahko osebne podatke obdelujemo:

  • če je to potrebno za sklenitev in/ali izpolnitev pogodbe (prijava na dogodek oziroma delavnico),
  • če to zahteva zakon,
  • če je podano soglasje (ki ga lahko kadarkoli prekličete),
  • če je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva podjetje ali tretja oseba.

 

3.1. Obdelava na podlagi sklenjene pogodbe

Podjetje obdeluje osebne podatke posameznikov za izpolnjevanje svojih obveznosti iz pogodbenega razmerja za storitve organizacije dogodka, delavnice ali druge storitve, dogovorjene med pogodbenimi strankami. V okviru uveljavljanja pravic in izpolnjevanja pogodbenih obveznosti, podjetje obdeluje osebne podatke posameznikov za naslednje namene:

  • identifikacija posameznika;
  • priprava ponudbe in sklenitev pogodbe;
  • izvedba storitve, pri čemer lahko podjetje posreduje podatke pogodbenim partnerjem, ki bodo izvajali posamezno storitev;
  • pošiljanje obvestil posameznikom v zvezi z izvajanjem pogodbenega razmerja;
  • obveščanja o spremembi zakonodaje na določenem področju ali spremembi prodajnih pogojev;
  • zaračunavanje storitev;
  • reševanje ugovorov ali reklamacij;
  • izvajanje morebitnih postopkov izterjave in prodaje terjatev;
  • za druge namene, potrebne za sklepanje ali izvajanje pogodbenega razmerja.

V obsegu, nujno potrebnem za preverjanje pristnosti in identifikacijo transakcij, podjetje obdeluje podatke tudi za potrebe priprave poročil in planiranje nadaljnjih aktivnosti.

Za potrebe izvajanja storitev organizacije dogodka ter z njimi povezanih storitev ali drugih storitev, ki jih je naročil posameznik, podjetje obdeluje vse podatke, ki so za to potrebni. Sem sodijo zlasti, a ne izključno: naziv, ime, priimek, rojstni datum, starost, naslov, kraj, država, telefonska številka, e-naslov, ….

Za pogodbeno obdelavo osebnih podatkov ne potrebujemo izrecnega soglasja.

V kolikor posameznik ne zagotovi vseh osebnih podatkov, ki jih podjetje potrebuje za izpolnitev pogodbenega odnosa, podjetje ne more izvršiti naročila posameznika. Pri tem podjetje vedno skrbi, da od posameznika pridobiva in nadalje obdeluje le toliko osebnih podatkov, kolikor jih potrebuje za pogodbeni odnos.

Ker so nekateri dogodki nujno povezani s fotografiranjem in objavo slik na profilih Facebook, Twitter, YouTube in Instagram), se v teh primerih šteje, da je fotografiranje in objava fotografij del dogodka oziroma delavnice. Kljub temu, da velja fotografiranje in objava fotografij za pogodbeno razmerje, podjetje pridobi izrecno soglasje posameznika. Če posameznik izrecnega soglasja ne poda in podjetje ne more zagotoviti, da posameznik ne bo na fotografijah, lahko podjetje prijavo posameznika na dogodek, oziroma delavnico zavrne.

 

3.2. Obdelava na podlagi zakona

Zakonita pravna podlaga pomeni, da podjetje obdeluje osebne podatke posameznika, ker to nalaga zakonodaja, da izpolni zakonske obveznosti, ki veljajo za zanj.

V Republiki Sloveniji zakonske obveznosti obdelave določenih osebnih podatkov določajo zlasti:

Zakon o davku na dodano vrednost ZDDV-1;

Zakon o davčnem postopku;

Zakon o gospodarskih družbah;

Zakon o računovodstvu;

Pravilnik o izvajanju zakona na dodano vrednost;

Slovenski računovodski standardi.

Podjetje, v kolikor obdeluje osebne podatke posameznika, ki je naročil storitev, račun hrani še 10 let (in tudi podatke posameznika/kupca na računu).

 

3.3.Obdelava na podlagi zakonitega interesa

Podjetje lahko podatke obdeluje tudi na podlagi zakonitega interesa, za katerega si prizadevata podjetje ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar se podatki nanašajo na otroka. Kadar gre za nadaljnjo uporabo podatkov, zbranih o posamezniku, podjetje opravi presojo skladno s Splošno uredbo o varstvu osebnih podatkov. Taka nadaljnja uporaba podatkov v psevdonimizirani ali agregirani obliki na primer predstavlja zakonito uporabo podatkov za trženjske in druge poslovne oziroma tehnične analize podjetja skladno s Splošno uredbo o varstvu osebnih podatkov sodi med zakonite interese tudi neposredno trženje. Za potrebe neposrednega trženja lahko podjetje tudi brez privolitve oblikuje profile posameznika na podlagi osnovnih informacij o izbranih storitvah, kot so npr. vrsta oziroma specifične karakteristike izbrane storitve, čas izbire, pretekli trženjski stiki s posameznikom zlasti glede izraženega interesa ali odsotnosti interesa za določene storitve. Tako osnovno profiliranje ne bo nikdar vključevalo občutljivih podatkov. Posameznik lahko obdelavi ugovarja v skladu s pravico do omejitve (točka 7.4).

Podjetje na podlagi zakonitega interesa lahko posameznika kontaktira  za namene izboljšave storitve ali za potrebe ugotavljanja njihovega zadovoljstva s storitvami, tudi v primerih, ko to ni nujno potrebno za izvajanje pogodbe. Podjetje zaradi tehtanja tega interesa z interesom posameznika ne kontaktira ponovno tistih posameznikov, ki so temu ugovarjali.

Podjetje ima zakoniti interes podatke do preteka zakonitega roka hrambe hraniti in nadalje uporabljati za analize in raziskave za potrebe trženja, poslovnega načrtovanja in podobno.

 

3.4.Obdelava na podlagi soglasja za obdelavo osebnih podatkov

Izrecna privolitev je podlaga za obdelavo tistih osebnih podatkov, za katere podjetje nima zakonite ali pogodbene pravne podlage za obdelavo. Soglasje se lahko na primer nanaša na:

  • obveščanje o drugih ponudbah in storitvah podjetja, ki poteka izključno preko komunikacijskega kanala, ki ga je izbral posameznik;
  • fotografiranje in snemanje dogodka oziroma delavnice za namene predstavljanja aktivnosti podjetja ter objavo nastalih fotografij, video- in zvočnih posnetkov na spletni strani podjetja in na profilih Facebook, Twitter, YouTube in Instagram.

Soglasje posameznik podaja za sebe, v primeru otroka pa to soglasje podaja eden od staršev oz. zakoniti zastopnik.

V teh primerih obdelava osebnih podatkov poteka v okviru s posameznikovo izjavo dopuščenega obsega osebnih podatkov, namena in dogovorjenih kanalov obveščanja, vse do preklica.

V primeru, da posameznik ne poda soglasja za zbiranje in obdelavo osebnih podatkov za enega ali več namenov, navedenih posameznem soglasju, to zanj nima nobenih posledic na podatke, katerih obdelava se izvaja na podlagi druge zakonite podlage.

Osebnih podatki, zbrani na podlagi soglasja, se bodo obdelovali zgolj v okviru in za namen danega soglasja in ne bodo posredovani tretjim osebam, razen v primeru, kadar bo to izrecno navedeno na soglasju in se bo posameznik strinjal, da se osebni podatki lahko posredujejo v soglasju navedenemu obdelovalcu.

Soglasje za obdelavo osebnih podatkov lahko posameznik kadarkoli prekliče, s tem, da se obrne na našo kontaktno točko za varstvo podatkov (točka 8). Soglasje je možno preklicati z elektronskim sporočilom, ki se ga pošlje na e-naslov naveden v točki 1.

 

4. Koliko časa hranimo osebne podatke?

Osebne podatke bo podjetje hranilo v skladu z veljavnimi predpisi, ki urejajo varstvo osebnih podatkov. Hranijo se samo toliko časa, kolikor je to potrebno za namene, za katere jih podjetje obdeluje, ali za ravnanje v skladu z zakonom. Osebni podatki, ki jih podjetje obdeluje na podlagi osebne privolitve posameznika, se hranijo trajno oziroma do preklica. Osebni podatki, ki jih podjetje obdeluje na podlagi zakona ali pogodbenega odnosa, pa se hranijo toliko časa, kot določa zakon.

Če se podatki obdelujejo na podlagi privolitve posameznika zaradi trženja storitev podjetja, se ti podatki lahko v potrebnem obsegu obdelujejo toliko časa, dokler je to potrebno za takšno trženje ali storitve.

Po preteku obdobja hrambe osebne podatke učinkovito in trajno izbrišemo ali anonimiziramo, tako da jih ni več mogoče povezati s posameznikom.

 

5. Na kakšen način ščitimo osebne podatke?

Uporabljamo tehnične in organizacijske varnostne ukrepe za zaščito osebnih podatkov pred nezakonitim ali nepooblaščenim dostopom ali uporabo, pa tudi pred nenamerno izgubo ali okrnitvijo njihove celovitosti. Oblikovali smo jih ob upoštevanju svoje IT infrastrukture, možnega vpliva na zasebnost posameznika in stroške ter v skladu s trenutnimi industrijskimi standardi in prakso. Naši pogodbeni obdelovalci bodo obdelovali vaše osebne podatke samo, če bodo upoštevali te tehnične in organizacijske varnostne ukrepe.

Ohranjanje varnosti podatkov pomeni varovanje zaupnosti, celovitosti in razpoložljivosti osebnih podatkov:

  • zaupnost in celovitost: osebne podatke posameznikov bomo zaščitili pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo
  • razpoložljivost: zagotovili bomo, da lahko pooblaščeni obdelovalci dostopajo do osebnih podatkov, zgolj in samo kadar je to potrebno.

Naši varnostni postopki vključujejo: varnost dostopa, varnostne kopije, spremljanje, pregled in vzdrževanje, upravljanje varnostnih incidentov itd.

 

6. Kdo obdeluje osebne podatke?

Glede na namene, za katere obdelujemo osebne podatke posameznikov, le-te lahko razkrijemo naslednjim kategorijam obdelovalcev:

  1. a) Znotraj podjetja: zaposleni v podjetju.
  2. b) Našim poslovnim partnerjem, od katerih zahtevamo, da vedno ravnajo v skladu z veljavnimi zakoni, politiko varstva osebnih podatkov ter posvečajo veliko pozornosti zaupnosti vaših osebnih podatkov:
  • oglaševalske, marketinške in promocijske agencije in ponudniki npr. MailChimp, Google (Google- samo identifikacijski podatek o piškotku/cookie za namene re-marketinga, e-poštni naslov za prikazovanje oglasov v programu Google AdWords, identifikacijski podatek o piškotku/cookie za namene analiz v programu Google Analytics); Facebook – samo identifikacijski podatek o piškotku/cookie za namene re-marketinga, e-poštni naslov za prikazovanje oglasov v programu Facebook Custom Audiences, ki nam pomagajo izvesti in analizirati učinkovitost naših akcij in promocij.
  • zunanji izvajalci, ki opravljajo storitve za podjetje, to je računovodski servis, zunanji svetovalci.
  • fizične in pravne osebe, ki so naši pogodbeni partnerji in za podjetje izvajajo svetovanja ali posamezne storitve z namenom izvrševanja pogodbenega razmerja med podjetjem in posameznikom (npr. partnerskim agencijam, hotelom, letalskim družbam, prevoznikom, itd.);
  1. c) Drugim tretjim osebam:

Kadar to zahteva zakon ali je zakonito potrebno za zaščito:

  • podjetja (skladnost z zakoni, zahteve organov, sodne odredbe, pravni postopki, obveznosti, povezane s poročanjem in vlaganjem informacij organom itd.)
    – preverjanje ali uveljavljanje skladnosti s politiko in sporazumi podjetja;
  • pravic, lastnine ali varnosti podjetja in/ali njegovih strank v zvezi s korporativnimi transakcijami: v okviru prenosa ali odprodaje celotnega ali dela svojega posla ali drugače v povezavi z združitvami, konsolidacijami, spremembami nadzora, re-organizacijami delovanja podjetja.

Naši poslovni partnerji, navedeni zgoraj pod točko b), smejo osebne podatke posameznikov obdelovati zgolj v okviru naših navodil in osebnih podatkov ne smejo uporabiti za zasledovanje kakršnihkoli lastnih interesov. Vsak posameznik pa mora upoštevati, da obdelovalci, navedeni v zgornjih točkah b) in c), zlasti ponudniki storitev, ki vam lahko ponujajo storitve v okviru in/ali aplikacij ali preko lastnih kanalov, lahko ločeno zbirajo vaše osebne podatke. V takem primeru so izključno odgovorni za njihov nadzor, sodelovanje posameznikov z njimi pa mora potekati skladno z njihovimi pogoji.

 

7. Vaše možnosti in pravice v zvezi s posredovanimi osebnimi podatki

Podjetje zagotavlja posameznikom uresničevanje njihovih pravic brez nepotrebnega odlašanja, v vsakem primeru pa najkasneje v enem mesecu po prejemu zahteve. Podjetje lahko rok za uresničevanje pravic posameznika, ob upoštevanju kompleksnosti in števila zahtevkov, podaljša za največ dva dodatna meseca. V primeru podaljšanja roka, podjetje posameznika o podaljšanju obvesti v enem mesecu od prejema zahtevka, skupaj z razlogi za zamudo.

Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo pošlje po elektronski pošti, se informacije, kadar je mogoče, zagotovijo z elektronskimi sredstvi, razen če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače.

7.1. Pravica do dostopa do podatkov

Vsak posameznik nas lahko kontaktira na e-naslov naveden v točki 1, da ugotovi, katere njegove osebne podatke podjetje obdeluje. In sicer ima vsak posameznik pravico dostopa do osebnih podatkov in dodatnih informacij v zvezi z obdelavo osebnih podatkov, kamor sodijo:

  • namen obdelave;
  • vrste osebnih podatkov;
  • posamezniki in pravne osebe, ki so jim bili ali jim bodo razkriti osebni podatki;
  • kadar je to mogoče, predvideno obdobje hrambe osebnih podatkov ali če to ni mogoče, merila, ki se uporabijo za določitev roka hrambe;
  • obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki ali obstoj pravice do ugovora taki obdelavi;
  • pravica do vložitve pritožbe pri nadzornem organu;
  • kadar osebni podatki niso zbrani od posameznika, vse razpoložljive informacije v zvezi z njihovim virom.

7.2. Pravica do popravka

Če posameznik v osebnih podatkih najde kakšno napako, ali če se mu zdijo nepopolni ali napačni, lahko zahteva, da podjetje brez nepotrebnega odlašanja netočne oziroma nepopolne osebne podatke popravi ali dopolni.

7.3. Pravica do izbrisa

Od podjetja lahko posameznik zahteva, da brez nepotrebnega odlašanja, njegove osebne izbriše, podjetje pa je dolžno osebne podatke brez nepotrebnega odlašanja izbrisati:

  • kadar osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani;
  • če posameznik prekliče privolitev, ki je podlaga za obdelavo osebnih podatkov, pri čemer za obdelavo ne obstaja nobena druga pravna podlaga;
  • če posameznik ugovarja obdelavi na podlagi zakonitega interesa podjetje, pri tem pa za obdelavo osebnih podatkov ne obstajajo nobeni prevladujoči zakoniti razlogi;
  • če posameznik ugovarja obdelavi za potrebe neposrednega trženja;
  • kadar je osebne podatke treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom EU ali slovenskim pravnim redom;
  • kadar gre za podatke, nepravilno zbrane od mladoletne osebe za uporabo informacijske družbe, ki skladno z veljavno zakonodajo takšnih podatkov ne morejo dati.

(razen v nekaterih primerih, na primer za dokazovanje transakcije ali če to zahteva zakon).

7.3. Pravica do omejitve

Vsak posameznik lahko zahteva omejitev obdelave njegovih osebnih podatkov, kadar:

  • oporeka točnosti podatkov, in sicer za obdobje, ki podjetju omogoča preveriti točnost osebnih podatkov;
  • je obdelava nezakonita in nasprotujete izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;
  • podjetje osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se osebni podatki nanašajo, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
  • je posameznik vložil ugovor v zvezi z obdelavo, dokler se ne preveri ali zakoniti razlogi podjetje prevladujejo nad razlogi posameznika.

7.4. Pravica do prenosljivosti podatkov

Vsak posameznik ima pravico do prenosljivosti za osebne podatke v zvezi z njim, ki jih je posameznik posredoval na podlagi privolitve ali pogodbe s podjetjem in se obdelujejo z avtomatiziranimi sredstvi. Pravica omogoča posamezniku, da pridobi osebne podatke v zvezi z njim, ki jih je posredoval podjetju, v strukturirani, splošno uporabljani in strojno berljivi obliki in da te podatke posreduje naprej drugemu upravljavcu, ne da bi ga podjetje pri tem oviralo.

7.5. Pravica do ugovora

Na podlagi razlogov, povezanih z njegovim posebnim položajem, ima vsak posameznik pravico, da kadarkoli ugovarja obdelavi njegovih osebnih podatkov, če ta temelji na zakonitih interesih, za katere si prizadeva podjetje ali tretja oseba. V tem primeru podjetje preneha obdelovati osebne podatke, razen, če dokaže nujne razloge za obdelavo, ki prevladajo nad interesi posameznika, pravicami in svoboščinami ali za uveljavljanje ali obrambo pravnih zahtevkov. Kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima vsak posameznik pravico, da kadarkoli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno s profiliranjem, kolikor je povezano s takim neposrednim trženjem. V primeru, da neposredno trženje temelji na privolitvi, se pravica do ugovora lahko izvede s preklicem danega soglasja.

 

8. Koga lahko kontaktirate za vprašanja v zvezi osebnimi podatki?

Podjetje ima kontaktno točko, ki obravnavala vprašanja posameznika ali zahteve v zvezi s posameznikovimi osebnimi podatki (in njihovo obdelavo) in uveljavljanjem posameznikovih pravic. Posameznik nas lahko kontaktira na e-naslov naveden v točki 1.

Za potrebe zanesljive identifikacije v primeru uveljavljanja pravic v zvezi z osebnimi podatki, lahko zahtevamo dodatne podatke posameznika, ukrepanje pa lahko zavrnemo le v primeru, da dokažemo, da posameznika ni mogoče zanesljivo identificirati.

9. Pravica do vložitve pritožbe v zvezi z obdelovanjem osebnih podatkov

Vsak ima pravico do pritožbe v zvezi z obdelovanjem osebnih podatkov. Pritožbo lahko posameznik pošlje na e-naslov naveden v točki 1. Prav tako ima pravico vložiti pritožbo neposredno pri Informacijskem pooblaščencu, v kolikor posameznik meni, da obdelava osebni podatkov krši slovenske predpise ali predpise EU s področja varstva osebnih podatkov. Če posameznik uveljavlja pravico do dostopa do podatkov in po prejeti odločitvi meni, da prejeti osebni podatki niso osebni podatki, ki ste jih zahtevali ali da niste prejeli vseh zahtevanih osebnih podatkov, lahko pred vložitvijo pritožbe Informacijskemu pooblaščencu, v roku 15 dni vloži obrazloženo pritožbo pri podjetju. Podjetje bo na pritožbo, kot o novi zahtevi odgovorilo v petih delovnih dneh od prejema.

 

Pravilnik o varstvu osebnih podatkov velja od 10.04.2019.